Au-delà du data lake : une intelligence opérationnelle interdomaines de pointe

La conférence RSAC touche à sa fin, et s’il y a bien un thème qui est revenu plusieurs fois dans les conversations avec les leaders de la sécurité, c’est le point de bascule auquel est arrivée l’entreprise moderne. Aujourd’hui, la vélocité de la télémétrie générée par les machines dépasse les capacités des architectures traditionnelles. Cette tendance impose de changer d’approche. Il ne faut plus seulement stocker l’information, il faut savoir la mobiliser sans ajouter encore au déluge d’alertes. Notre secteur prend conscience que le data lake, toujours indispensable pour les rapports historiques, est incapable de répondre aux exigences de la sécurité et des opérations en temps réel.

Il faut donc combiner une data fabric spécialement pensée pour les opérations de sécurité et des capacités agentiques qui permettent de détecter les incidents et d’y répondre rapidement. Cette approche repose sur une nouvelle idée : mettre les données machine à la disposition de l’IA.

Pour arrêter les menaces émergentes provenant de l’IA, la data fabric ne doit pas seulement utiliser l’IA lui aussi, elle doit donner de la visibilité sur l’IA pour créer un socle de confiance. Et sur le plan pratique, elle doit être capable de s’étendre à l’infini ou presque sans que les coûts ne s’en ressentent.

Chez Splunk, qui est maintenant une entreprise de Cisco, nous avons imaginé et bâti la plateforme qui donne vie à cette approche : la Cisco Data Fabric. Ce n’est pas un data lake générique : elle est spécialement pensée pour la sécurité et les opérations interdomaines. Nous comblons le « fossé de résilience » qui sépare les données brutes de l’action décisive en intégrant la Cisco Data Fabric à notre vision du SOC agentique. Notre mission : aider l’entreprise à s’affranchir des limites des silos centralisés et de la sécurité réactive. Nous proposons un centre de commande unifié qui anticipe les menaces et optimise les opérations en temps réel en couvrant tous les domaines.

Voici comment nous créons une nouvelle référence pour les opérations de sécurité avec un système d’intelligence à trois couches.

1. Couche 1 : accès intelligent aux données grâce à la Cisco Data Fabric

Selon l’approche traditionnelle, la seule façon de gérer les données consiste à les déplacer et à les copier dans un immense silo centralisé. Pour une entreprise moderne, cela s’avère non seulement cher, mais surtout irréalisable.

Avec la Cisco Data Fabric, les données résident à l’endroit où elle ont été produites et on accède à une télémétrie normalisée sans avoir à procéder à une refonte totale. Cette souplesse permet aux entreprises de conserver une architecture optimale et équilibrée qui s’intègre parfaitement aux environnements existants, loin des contraintes d’une infrastructure rigide et monolithique. Cette première couche est décisive : elle garantit un accès fluide aux données, sans la latence ni le coût d’une centralisation forcée.

2. Couche 2 : exécution en temps réel ou analyse passive

L’analyse des données et l’exploitation d’un système en temps réel sont deux pratiques fondamentalement différentes. Les data lakes généralistes sont conçus pour le stockage « à froid », alors que la cybersécurité et les opérations stratégiques reposent sur des boucles d’exécution continues.

Le Splunk Index a été spécialement élaboré pour une indexation ciblée à faible latence et la corrélation continue. Ces capacités ne peuvent pas être greffées à un data lake sans d’importants compromis sur la vélocité et la fiabilité des données. Si nous conservons l’avantage du temps réel, même dans un environnement fédéré, c’est grâce à Federated Analytics. Contrairement à la recherche fédérée traditionnelle, qui souffre souvent des délais des requêtes distantes, notre architecture s’appuie sur la Cisco Data Fabric pour acheminer intelligemment la télémétrie stratégique dans des index de data lake haute performance, sur demande. Vous pouvez ainsi générer des alertes à haute fréquence et exécuter des détections de sécurité complexes sur les données résidant dans un data lake avec les faibles latences typiques d’un stockage local.

C’est parce que nous maintenons la couche d’exécution au cœur de notre architecture que les détections et les workflows peuvent suivre le rythme des menaces, sans les lenteurs des requêtes de base de données.

3. Couche 3 : une action gouvernée avec le SOC agentique

À l’heure où de nombreux fournisseurs cherchent encore à passer du stockage au raisonnement, Cisco se situe déjà au niveau de la couche d’exécution. Nous proposons un système en boucle fermée qui passe automatiquement de l’information à la correction :

• SOC agentique : plus que de simples assistants, nous créons un SOC capable de gérer les données plus efficacement et d’adopter une posture proactive, axée sur la prédiction et la prévention.
• L’avantage de l’exécution : comme nous gérons déjà les détections, les workflows et les couches de remédiation, nos agents IA peuvent agir sans délai, toujours sous le contrôle de la gouvernance. Ils ne se contentent pas de « raisonner » à partir des données du data lake : ils déclenchent les politiques qui assurent la continuité des opérations.
• L’écosystème Claw : Cisco est toujours à la pointe de l’évolution du paysage des agents. Le lancement de DefenseClaw en atteste : cet outil s’intègre à l’écosystème OpenClaw pour le protéger. Il assure ainsi une sécurité pilotée par IA à la fois puissante, gouvernée et sécurisée.

4. Le résultat économique : une efficacité à grande échelle

Le principe selon lequel les solutions génériques coûtent moins cher ne tient pas face aux complexités de la sécurité d’entreprise. Cette architecture à trois couches nous permet de transformer fondamentalement l’économie des données.

En éliminant la charge de calcul considérable nécessaire pour réaliser des corrélations de sécurité complexes sur un data lake généraliste, nous proposons une alternative hautement performante et efficace. Nous générons des informations détaillées pour un coût total de possession inférieur à celui des plateformes généralistes qui imposent aux clients de payer une « taxe sur les données » à chaque fois qu’il faut déplacer ou retraiter des informations.

5. Une plateforme fédérée interdomaines

Le SIEM n’est qu’une pièce dans un puzzle bien plus vaste. Pour une véritable résilience, il faut une plateforme qui couvre l’intégralité de l’entreprise. Cisco et Splunk proposent une expérience unifiée qui englobe la sécurité, l’ITOps, le NetOps et le DevOps.

• Corrélation des informations : nous apportons de la visibilité sur tous les domaines, ce qui est impossible pour les solutions ponctuelles.
• Flexibilité de l’hybride : que ce soit dans un cloud public, un cloud privé ou en local, notre solution assure une position de sécurité cohérente.
• Confiance et gouvernance : notre leadership dans les domaines de la sécurité et de l’observabilité, reconnu par les analystes de l’industrie, est attesté par les faits : les entreprises les mieux sécurisées au monde s’appuient sur notre plateforme.

L’avenir des opérations numériques n’est pas un data lake statique, mais une plateforme compétente, évolutive et agentique reposant sur trois couches : l’accès aux données (data fabric), l’exécution en temps réel (index) et l’action gouvernée (agents). Cisco et Splunk apportent aux entreprises la résilience et l’intelligence indispensables au monde moderne.